Verarbeitungsverzeichnis
Entwurf zur internen Prüfung — ersetzt keine Rechtsberatung. Angaben in .env unter LEGAL_* ergänzen.
Verantwortlicher
Selcuk Karateke · selcuk.karateke@live.de
Verarbeitungstätigkeiten in der App
| Tätigkeit | Zweck | Datenkategorien | Betroffene | Löschfrist (Richtwert) |
|---|---|---|---|---|
| Nutzerkonten | Login, Zuordnung der Daten | E-Mail, Name, Passwort-Hash, OAuth-IDs | Registrierte Nutzer | Bis Kontolöschung |
| Lebensläufe & PDF | Bewerbung, Selbstpräsentation, Export | CV-Inhalte, Bilder, Metadaten | Nutzer; ggf. in CV genannte Personen | Bis Löschung des Lebenslaufs |
| Leads / Stellen | Akquise, Kontaktverwaltung | Firmen, Ansprechpartner, E-Mails, Notizen | Nutzer; Kontakte Dritter | Bis Löschung des Leads |
| E-Mail-Versand | Bewerbungen und Angebots-Mails versenden | Empfänger, Inhalt, Versandstatus | Nutzer; Empfänger | Protokolle nach Bedarf / Vertrag |
| Server-Logs | Betrieb, Sicherheit | IP, User-Agent, Zeitstempel | Alle Besucher | Wenige Wochen (Hosting) |
Auftragsverarbeiter (Stand dieser Installation)
| Anbieter | Rolle | Zwecke | Daten | Standort | Status |
|---|---|---|---|---|---|
| Hosting-Anbieter (z. B. Hetzner / Coolify) | Hosting, Speicher, Backups | Betrieb der Webanwendung; Datenbank; Datei-Uploads (Profilbilder) | Nutzungs- und Kontodaten; Lebenslauf-Inhalte; Leads; Logdaten | EU / Deutschland (bitte prüfen) | optional |
| Gotenberg (gotenberg-xepoyrt2smkg7opnekw7vji2.cool.kawai-labs.com) | HTML-zu-PDF-Umwandlung | Erzeugung von Lebenslauf-PDFs aus HTML | Lebenslauf-Inhalte (temporär im Render-Prozess) | EU / Deutschland (bitte prüfen) | konfiguriert |
| OpenAI | Textverarbeitung (Import, Vorschläge, Anreicherung) | Auswertung hochgeladener Lebensläufe / Profiltexte; Vorschläge für Felder und Kompetenzen | Lebenslauf- und Profiltexte; ggf. Bilder/PDF-Inhalte bei Vision-Modellen | Anbieterstandort laut Vertrag (oft USA) | konfiguriert |
| Resend | E-Mail-Versand (API) | Versand von Bewerbungs- und Akquise-E-Mails | Empfängeradressen; Betreff und Inhalt; Absenderdaten | USA (Resend Inc.) | optional |
| Microsoft Graph | E-Mail-Versand / Postfach | Versand über verbundenes Microsoft-Konto | E-Mail-Inhalte; Metadaten; OAuth-Tokens | USA / EU (Microsoft) | optional |
| SMTP-Anbieter (vom Nutzer konfiguriert) | E-Mail-Versand | Versand über konfigurierten SMTP-Host | Empfängeradressen; Betreff und Inhalt | Je nach gewähltem Host (z. B. Outlook, Gmail, eigener Server) | optional |
Hosting-Anbieter (z. B. Hetzner / Coolify): Server / Container, auf denen diese Installation läuft.
Gotenberg (gotenberg-xepoyrt2smkg7opnekw7vji2.cool.kawai-labs.com): Typisch eigener Dienst im gleichen Stack (z. B. Coolify).
OpenAI: Nur wenn KI in den Einstellungen oder per .env aktiv ist. API-Schlüssel verbleiben beim Betreiber.
Resend: Wenn Versandmodus „Resend API“ in den Einstellungen gewählt ist.
Microsoft Graph: Wenn Versandmodus „Microsoft Graph“ genutzt wird.
SMTP-Anbieter (vom Nutzer konfiguriert): Wenn Versandmodus „SMTP“ in den Einstellungen gewählt ist.
Technische und organisatorische Maßnahmen (Kurz)
- Zugriff nur nach Anmeldung (wenn
APP_REQUIRE_LOGIN=true) - Lebensläufe und Einstellungen pro Nutzerkonto getrennt (
user_id) - HTTPS in Produktion empfohlen; Passwörter gehasht
- API-Schlüssel in Umgebungsvariablen / geschützten Einstellungen
AV-Verträge als Textvorlagen: AV-Verträge